In dieser Episode von OT Security Made Simple begrüßen wir den Cybersecurity-Experten Dirk Seewald vom B2B-Investor eCapital. Dirk spricht über die Entwicklung des OT-Sicherheitsmarktes von 2006 bis heute, kommende Trends, warum Cyberversicherungen nicht der Weisheits letzter Schluss sind und die Bedeutung militärischer Forschung für Innovationen. Und er erklärt, warum Internationalisierung deutscher Startups von Tag 1 mitgedacht werden muss.
Hören Sie uns auf:
Transkript
Klaus Mochalski
Hallo und herzlich willkommen zu einer neuen Episode des OT Security Made Simple Podcast. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein Gast heute ist Dirk Seewald. Dirk und ich, wir haben tatsächlich schon viel zusammengearbeitet. Dirk ist Partner bei eCapital. eCapital war ein Investor von Rhebo von 2016 bis 2021. Dirk hat vorher viel in dem Cyber Security Bereich gearbeitet, unter anderem als Vorstand bei der Phoenix Contact. Aber das kann er uns dann gleich noch selbst erzählen. Wir werden uns heute auf jeden Fall einmal anschauen, was im Marktumfeld im Bereich OT Security, das heißt Security for Operational Technology, in den letzten Jahren passiert ist. Und hier werden wir uns natürlich insbesondere die Perspektive eines Investors anhören, was sich dort entwickelt hat, was dort gerade Spannendes passiert und auf welche Entwicklung wir besonderes Augenmerk legen müssen. Bevor wir damit einsteigen, übergebe ich an dich, Dirk, für eine kurze Vorstellung für unsere Zuhörer.
Dirk Seewald
Ja, ganz herzlichen Dank, Klaus. Freut mich sehr. Vielen Dank für die Einladung. Klaus, Du hast es gerade schon gesagt, mein Name ist Dirk Seewald. Ich stelle mich vielleicht mit zwei, drei Sätzen einmal vor. Partner bei eCapital, einem Venture Capital Investor, der in Early-Stage B2B Unternehmen investiert. Wir haben einen unserer Investitionsschwerpunkte, der uns ein bisschen besonders macht, das ist Cybersicherheit, neben Sustainability, IoT und Semiconductors. Cybersicherheit ist auch am Ende das Thema, was mich seit fast 20 Jahren umtreibt.
Ich, Klaus hat das gerade schon erwähnt, habe zwei Leben. Ich bin Ingenieur von der Ausbildung her. Ich habe die erste Hälfte meines professionellen Lebens als Unternehmer im Bereich Telekommunikation zugebracht. Die zweite Hälfte verlief dann aber seit 2006 im Bereich Cybersicherheit für industrielle Anlagen, also für OT. Da habe sozusagen tief drin in dieser Branche gesteckt. Ich war dort zuerst Chief Operating, dann Chief Executive Officer von einem Unternehmen, das eins der ersten war, das Geräteprodukte und Lösungen für die Absicherung von Industrieanlagen hergestellt hat. Wir haben das Unternehmen damals an Dominate, dann an Phoenix Contact veräußert und ich habe dann für Phoenix Contact das weltweite Geschäft mit Cybersicherheitslösungen verantwortet. Und in dem Zusammenhang Klaus haben wir beide uns auch kennengelernt.
Klaus Mochalski
Eine zum einen sehr spannende Zeit. Zum anderen war natürlich auch die Diskussion, auch die technische, inhaltliche Diskussion immer sehr hilfreich, weil man gemerkt hat, dass du dich mit diesem Thema – zu einem aus heutiger Sicht sehr frühen Zeitpunkt – schon sehr intensiv beschäftigt hattest. Vielleicht ist es auch noch ganz spannend für unsere Zuhörer, dass du im Rahmen deines Engagements bei Phoenix Contact auch noch in einen Wettbewerber von Rhebo investiert hattest. Das heißt, du hast ja tatsächlich einen Blick auf diesen Markt. Aus mehreren Perspektiven und über einen sehr langen Zeitraum.
Kannst du etwas zu diesem frühen Einblick in den, was wir heute den OT Security Markt nennen, erzählen? Was waren deine ersten Eindrücke? Was hat damals so die Investment-Entscheidung bewogen, und was hat sich in den ersten Jahren aus deiner Sicht verändert?
Dirk Seewald
In der Tat, Klaus: Wir haben uns damals letztendlich den Markt für neue Cybersicherheit-Lösungen für Betreiber von kritischen Anlagen und für Industrieautomatisierung angeschaut, die Gewinne brachten. Und in einer Zeit, wo gerade die große Frage war, welche Assets habe ich eigentlich in einer Industrieanlage, in einer Prozessanlage, in einer Fertigung? Das ist nämlich gar nicht so klar, wenn man mal genau drauf schaut, welche IT-Assets da wirklich zum Einsatz kommen. Da entwickeln sich dann über die Jahre und teilweise über die Jahrzehnte ganz interessante Gebilde, mit denen man dann irgendwie umgehen muss, inklusive Internetzugänge über DSL, die nirgendwo dokumentiert sind usw., also teilweise Wildwuchs. Das war damals ein großes Thema. Also zunächst mal zu erkennen, was gibt es dann überhaupt für Geräte in diesen Netzen, die ja letztendlich immer am Ende irgendwas bewegen?
Also am Ende bedeutet ja Industrie immer, dass ein Bit, sage ich jetzt mal, etwas auslöst. Dass sich irgendwo ein Arm bewegt, ein Roboterarm, irgendein Servo-Motor angeht, also am Ende irgendeine physikalische Wirkung darauf folgt. Das ist schon sehr zentral. Daher ist es wichtig gewesen zu wissen, welche Assets gibt es eigentlich in den Netzen? Wie kann man auf diese Assets zugreifen? Und da kann ich mich auch an Szenarien erinnern, die nicht mit dem Stift und dem Block, sondern letztendlich elektronisch dokumentiert wurden. Das war sozusagen die eine große Herausforderung.
Und die andere operative Herausforderung, die man tatsächlich erstmalig hat lösen können mit den ersten Lösungen, war dann auch, wirklich Anomalien zu erkennen in der Kommunikation. Also der zweite Schritt dann eigentlich. Nachdem man begonnen hat, die Kommunikation zu monitoren und dann einmal verstanden hat, welche Befehle da ausgetauscht wurden, welche dann vielleicht auch ungewollt oder unbewusst? Welche Daten werden transportiert?
Und da kamen dann letztendlich eine ganze Reihe von Lösungen ins Spiel. Und ich glaube, das war auch genau der Moment, wo dann, ich sag mal, eine Handvoll Unternehmen entstanden sind, unter anderem auch Rhebo. Und wir haben uns damals zu der Zeit kennengelernt und wir haben dann letztendlich in einen internationalen Anbieter investiert. Haben aber das Feld immer im Auge behalten. Also, ich insbesondere. Also wie gesagt, nach meiner Einschätzung oder für mich ging es in der ersten Phase darum, Assets zu identifizieren und im zweiten Schritt dann, wirklich die Kommunikation zu monitoren und Anomalien zu erkennen.
Klaus Mochalski
Auf jeden Fall sehr spannend, was du erzählst. Insbesondere diese Erfahrungsberichte. Also was tatsächlich die ersten Probleme waren, die in den Fabriken und automatisierten Fertigungsanlagen erkannt wurden, als man sich zum ersten Mal genau umgeschaut hat. Wie sieht denn dort diese Infrastruktur aus, die IT Systeme, die tatsächlich physische Vorgänge steuern?
Das Verrückte ist, finde ich, dass diese Geschichten heute immer noch erzählt werden können. Wir steigen bei unseren Neukunden nach wie vor mit einer Sicherheitsanalyse ein, wo ein großer Bestandteil die Identifikation dieser Systeme, dieser Assets ist. Das, was du schon beschrieben hast. Das heißt, die Motivation, so ein System einzuführen, ist heute noch sehr ähnlich gelagert. Man möchte erst mal seine eigene Anlage kennenlernen. Und da ist auch die Reife der Anlagen, in denen wir diese Untersuchungen durchführen, nur relativ geringfügig gestiegen. Wenn man mal schaut, wie viel Zeit ins Land gegangen ist und wie viel über dieses Thema berichtet wurde. Das heißt, diese Überraschungen, die wir dort erleben, sind heute ganz ähnlich gelagert. Zum Beispiel finden wir dort Kommunikation mit dem Internet von Anlagen, wo die nicht stattfinden sollte. Wir haben Systeme, von denen noch nie jemand gehört hat. Wir haben Loginversuche von Stationen aus dem klassischen Büro-IT-Umfeld, die eigentlich gar nicht stattfinden sollten. Das heißt, diesen MS-DOS finden wir relativ selten, aber wir finden noch Windows XP Systeme.
Woran liegt das aus deiner Sicht? Du hast ja so ein bisschen die externe Perspektive als Investor, bist nicht so sehr mehr im Tagesgeschäft drin. Hast du eine Idee, woran das liegt, dass sich dort diese Entwicklung so langsam vollzieht?
Dirk Seewald
Ja, ich glaube, dafür gibt es nicht eine Ursache. Und das kann man letztendlich auch daran erkennen, dass wir halt auch immer noch mit diesen Themen zu kämpfen haben. Und ich glaube, das wird auch noch eine gewisse Zeit dauern. Ich denke mal, es gibt eine Reihe von Faktoren.
Einer der Faktoren sind sicherlich die langen Investitionszyklen. Also wenn wir über Industrieanlagen sprechen oder über Prozessanlagen, dann reden wir eigentlich immer über Jahrzehnte. Das heißt auch letztendlich, dass die Infrastruktur, die dort verbaut wird, also sowohl die Steuerungssysteme, die Anlagen, die Robotertechnik, aber auch die IT-Infrastruktur irgendwann mal eingeplant wurde und dann sozusagen abgeschrieben wird und für die weitere Maintenance dann entsprechend kleinere Budgets zur Verfügung stehen. Und es gibt sicherlich auch immer noch viel das Mantra Never change a running system. Da ist sicherlich auch gerade sehr viel dran, wenn es um laufende Infrastruktur geht. Und das ist sicherlich auch einer der Punkte hier an der Stelle.
Ich würde aber noch zwei, drei andere anführen, und zwar ein zweiter, den ich auch immer wieder gesehen habe und ihr sicherlich auch in der Industrie. Nämlich die Frage, wie man mit Risiken umgeht. Letztendlich sind die Cyberrisiken oder das Risiko, dass Cyberschäden entstehen – sei es mutwillig, unbewusst oder gerade durch einen kriegerischen Akt – heute auch nicht mehr auszuschließen. Das sind letztendlich Unternehmensrisiken und oftmals werden die zusammen mit vielen anderen Risiken von einem Risikomanager oder von einer Organisation, die diese Risiken managen muss, bearbeitet. Und mit Risiken kann man halt auf verschiedene Art und Weise umgehen. Man kann sie ignorieren, man kann sie mit Technik mitigieren. Das ist das, worüber wir immer gern reden, nämlich am Ende Technik einzusetzen, um damit umzugehen. Man kann sie versichern. Und so gibt es eine ganze Palette von Dingen, wie man mit diesen Risiken umgehen kann.
Mein Gefühl ist übrigens an der Stelle, dass man über viele Jahre oder auch aktuell natürlich immer noch die gesamte Palette ausschöpft, wie mit diesen Risiken, auch mit Cyberrisiken, umzugehen ist. Interessanterweise wird es gerade für Cyberrisiken schwieriger, sie zu versichern. Also ich komme deshalb auf diesen Punkt: Das ist sicherlich ein Geschäftsmodell, das sich Industrieversicherer vor vielen Jahren mal überlegt haben, um letztendlich auch Angebote zu machen. Nach meiner Kenntnis sind diese Policen noch nie oder oder sehr selten wirklich wirtschaftlich für die Versicherer. Und wir haben jetzt das erste Mal gesehen, Ende letzten Jahres, dass Versicherer tatsächlich gesagt haben: Wir schränken diese Versicherung sehr stark ein, wir erhöhen die Preise sehr stark. Oder sogar so weit – ich erinnere mich, dass kurz vor Weihnachten 2022, der CEO der Zürich Versicherung gegenüber der Financial Times letztendlich bekannt gegeben hat, dass er sich vorstellen kann –, dass Cyberrisiken gar nicht mehr versichert werden können. Das schränkt dann – und das ist so ein Stück weit Hoffnung – natürlich an der Stelle den Spielraum ein, wie man mit dieser Art von Risiken umgeht und man sich letztendlich dem Kern widmen muss.
Sprich, wie verringern wir diese Risiken? Wie gehen wir dann wirklich in der Infrastruktur damit um? Denn – und jetzt ist der Monolog auch gleich wieder zu Ende – es ist ja nicht so, dass die Komplexität geringer wird. Wenn wir uns die letzten Jahre anschauen – und das wird jeder einzelne Bürger, sogar jeder einzelne Hörer dieses Podcasts wissen –, dass in geradezu kurzer Zeit letztendlich alle Arbeiter, die aus dem Homeoffice oder hybrid arbeiten konnten, das auch getan haben. Wir haben ein enorm exponentielles Wachstum von hybriden Geräten, mit denen IT-Abteilungen kämpfen müssen. Und das hat auch vor den Fertigungshallen nicht halt gemacht. Also, wir werden mit mehr Komplexität kämpfen und das macht das Problem nicht kleiner. Da steckt ein Stück weit Hoffnung drin für Technologieanbieter, wie ihr das seid.
Klaus Mochalski
Ich finde es sehr spannend, auch das Versicherungsthema. Das haben wir natürlich auch beobachtet und es gab ja durchaus auch Bestrebungen, staatlicherseits das Ganze einzuschränken, insbesondere für kritische Infrastrukturen oder für Industrieunternehmen, die als kritisch angesehen werden. Dass man sagt, man darf sich dort nicht freikaufen.
Und ich glaube, aus Sicht des Unternehmens muss man schauen. Natürlich, das eine ist das Risiko, das ich reduzieren möchte und das ich mir vielleicht wegkaufen kann. Aber es geht am Ende auch um die Konsequenz, wenn dieser Risikofall eintritt. Was hat das für Auswirkungen? Und ich glaube, das können auch die Versicherungsunternehmen heute noch nicht vollständig vorhersagen, weil dort einfach die Daten fehlen, wie zum Beispiel bei Wetterereignissen. Da gibt es historische Daten, die gibt es hier nicht und deswegen überrascht das wenig, dass es da jetzt natürlich zu diesen Diskussionen kommt, das einzuschränken.
Vermutlich wird es da in den nächsten Jahren ein Hin und Her geben, dass die Policen detaillierter geregelt werden. Das ist dort ähnlich, wie es in der Regulierung zu kritischen Infrastrukturen auch Anforderungen an die Unternehmen gibt, die sich versichern lassen möchten. Da wird es sicher ganz vielfältige Entwicklungen geben. Das Thema könnten wir, glaube ich, vertiefen. Wir könnten jetzt noch ganz lange nur über die Versicherungen sprechen, inwiefern die gut oder schlecht sind.
Aber ich möchte noch mal auf einen Punkt eingehen, den du angesprochen hattest: die aktuelle geopolitische Lage. Wir haben ja schon darüber gesprochen, dass sich Änderungen in diesem industriellen Bereich, wo es um Sicherheit von Industrieanlagen geht, eher langsam entwickeln, weil es dort aufgrund der langen Investitionszyklen, der Zurückhaltung gegenüber neuen Technologien und dem Versicherungsthema viele Aspekte gibt, die man als Betreiber dieser Anlagen beachten muss.
Jetzt ist vor etwas mehr als einem Jahr [Anm.: der Podcast wurde Mitte 2023 aufgenommen] ein ziemlich gewaltiger geopolitischer Einflussfaktor hinzugekommen. Du hattest vorhin schon kurz über kriegerische Ereignisse, die sich auch im Cyberraum niederschlagen, gesprochen. Wie ist deine Sicht auf die allgemeine Lage, speziell im Hinblick auf Cybersicherheit im OT-Bereich, durch den Ukrainekrieg, der [Februar 2022] begonnen hat. Es gab ja schon im Vorfeld eine ganze Reihe dokumentierter Angriffe, die höchstwahrscheinlich von staatlichen Playern verursacht wurden. Hat das tatsächlich die Landschaft verändert? Es wurde viel darüber gesprochen, aber gab es hier tatsächlich eine echte Veränderung, zumindest im Verhalten der Unternehmen und dann natürlich auch im Verhalten oder im Investitionsverhalten der Investoren in diesem Bereich?
Dirk Seewald
Ich schicke der Antwort mal noch etwas vorweg, nämlich, dass nach meiner Erfahrung sich in dem Cyber Security Markt Dinge bewegen, wenn etwas passiert. Das ist bedauerlich, aber letztendlich sind wir wahrscheinlich alle irgendwo Menschen und wir brauchen letztendlich einen Schmerzpunkt, damit wir uns grundsätzlich irgendwie ändern. Im Juni 2010 war das mal Stuxnet. Das haben wir beide aktiv miterlebt, und das hat letztendlich auch dazu geführt, dass die Industrie ein Stück weit aufgewacht ist und dann auch gemerkt hat, dass das einfach nicht nur Bits sind, die man hin und her schiebt, sondern dass man damit auch wirklich physische Infrastruktur bewegt. Man braucht diese Momente, wo man wachgerüttelt wird, da gibt es immer mal wieder welche.
Und nach meiner Einschätzung ist der Kriegsbeginn in der Ukraine einer dieser Momente gewesen, wo uns allen diese Gefahr bewusst geworden ist. Letztendlich hat es dazu geführt, dass die NATO Staaten enger aneinander herangerückt sind. Das hat dazu geführt, dass sich in einzelnen europäischen Ländern, Mitgliedsländern, unter anderem auch Deutschland, die Perspektive, was jetzt das Thema Defence und auch die Mittel und das Engagement, die Budgets, oder auch die Perspektive von politischen Spielern teilweise um 180 Grad gewendet haben. Also ich glaube, das war schon ein ganz wichtiger Punkt an der Stelle. Und interessanterweise wird ja auch aktuell im militärischen Umfeld von Cyber als der vierten Domain gesprochen. Und wenn man jetzt die Berichte nachverfolgt, wie es sich in der Ukraine darstellt, kann ich zumindest schon mal ablesen, dass es sich auch immer um hybride Maßnahmen handelt. Ob man jetzt die Infrastruktur abschaltet vom Gegner, bevor man letztendlich dann kinetisch zuschlägt. Oder aber IT-Infrastrukturdaten intelligent nutzt für die aktive Kriegsführung.
Also das sind sicherlich Themen, die da sehr stark verwoben sind. Was wir wahrnehmen ist, dass aktuell das Thema Dual Use keine No-Go-Area mehr ist, also dass man kommerzielle Technologien auch für Defence einsetzt. Institutionen entstanden, wie beispielsweise der NATO Investment Fund, der dafür aufgestellt wurde, in entsprechende Unternehmen zu investieren. Der mit einer Milliarde US-Dollar ausgestattet wurde und diese Gelder sozusagen in Startups investiert, teilweise auch direkt.
Es ist eine Initiative entstanden, die nennt sich DIANA. Das ist ein Programm, mit dem früh in der Phase von Unternehmen, früh in der Phase von Lösungen im Bereich Cyber und Defence unterstützt werden sollen, Acceleratoren bereitstehen sollen. Dort gibt es jetzt auch die ersten drei Ausschreibungen. Und eine dieser drei befasst sich ganz konkret mit dem Thema der sicheren Datenübertragung im Feld. Da spielt dann natürlich so ein Thema wie Quantensicherheit mit rein. Da spielen natürlich auch Themen rein, wie man heute die aktuelle Technologie im Rahmen dessen oder wie man künstliche Intelligenz einsetzen kann, um die entsprechenden Effekte zu erzielen. Es gibt, glaube ich, mittlerweile für Unternehmen, die mit ihren Lösungen kritische Infrastruktur bedienen können, Industrieanlagen sicherer machen können, heute auch das Feld. Das ist, glaube ich, sehr weit offen und auch mit entsprechenden Institutionen untermauert. Das sind alles wieder langfristige Entscheidungen, die da zu fällen sind. Aber ich glaube, man kann auch heute schon absehen, dass das, was in den letzten zwölf, 18 Monaten passiert ist, was die geopolitische Perspektive anbietet, dass das auch mittel- und langfristig wirken wird und dass das kein kurzfristiger Effekt ist, der nächstes Jahr wieder weg ist und nicht mehr beachtet wird. Also Dual Use und Defence ist für Cyber, glaube ich, ein großes Thema.
Klaus Mochalski
Das heißt, da ergeben sich mit Sicherheit spannende Perspektiven für Startups, sicher auch für etablierte Unternehmen, aber insbesondere für Startups. Und da interessiert mich doch gleich im Anschluss der Bereich IT Security und auch der Bereich, den du beschreibst, Dual use. Ich sage mal, die Schnittstelle zwischen Gütern für den Zivileinsatz und für den Militäreinsatz, der ist ja historisch sehr stark ausgeprägt in den USA, in Israel. Und da gibt es eine starke Überlappung auch mit der Cyber Security Industrie. Die erfolgreichsten IT Security, auch OT Security, Startups sind häufig amerikanische und israelisch-amerikanische Unternehmen. Der Ukrainekrieg ist aktuell eher eine europäische Herausforderung, ein europäisches Problem. Ergibt sich da durch die Initiativen, die du beschreibst, also durch diesen NATO Investmentfonds, eine Chance?
Dirk Seewald
Das ist meine Wahrnehmung, dass es nicht nur ein europäisches Problem darstellt, nicht nur für die westliche, sondern für die gesamte Welt. Das sieht man auch an den Implikationen, die das zur Folge hat. Und interessanterweise sind das genau die Dinge, die ich gerade beschrieben habe, also auch ein Fokus auf europäische Unternehmen. Interessanterweise haben an dem NATO Innovation Fund, von dem ich jetzt gerade sprach, einige Länder nicht partizipiert, unter anderem auch die USA. Und warum nicht? Weil sie andere lokale staatliche Maßnahmen haben, die letztendlich diese Ziele schon abdecken.
Also eigentlich holt man damit in den anderen Ländern auf, was maßgeblich westeuropäische Länder sind. Daher gibt es da schon einen ganz großen Fokus, auch dieses Innovation Funds, auf die europäischen Länder. Und wenn man jetzt noch mal auf Deutschland schaut, gab es ja auch immer mal wieder Initiativen, die insbesondere auf die Cyberdomain geschaut haben. Und da möchte ich an der Stelle vielleicht auch noch mal die Cyberagentur hervorheben, die vor einigen Jahren schon ins Leben gerufen wurde und, nach meiner Erinnerung, seit letztem Jahr tatsächlich auch die ersten Challenges organisiert, die über einige Runden laufen und dann letztendlich Finanzierung für interessante Projekte oder Unternehmen über teilweise mehrere Jahre zur Verfügung stellen. Und das ist nach meiner Erinnerung letztes Jahr auch wirklich aktiv gestartet. Also, Cyberagentur ist mal wieder so ein Beispiel, ganz konkret aus Deutschland. Und ansonsten die Antwort auf die Frage nochmal zusammengefasst: Der NATO Innovation Fund konzentriert sich eindeutig auf westeuropäische Länder.
Klaus Mochalski
Das heißt, es ergibt sich, insbesondere auch für Deutschland und für deutsche Unternehmen, deutsche Startups eine Chance, in diesem Bereich aktiv zu werden. Unterstützt natürlich von Organisationen wie der Cyberagentur, die ja sogar im Osten Deutschlands angesiedelt ist, was eine ganz spannende Entwicklung war. Und ich habe das auch so ein bisschen mitverfolgt. Es gab da am Anfang so ein bisschen die typischen Startschwierigkeiten bei so einer großen Investition, mit langer Perspektive aufgebauten Organisation.
Aber mittlerweile gibt es da erste Projekte und ich finde das tatsächlich sehr spannend. Wie ordnet sich das aus deiner Sicht ein, solche eher, ich sage mal, staatlich oder großorganisatorische Perspektive, mit der eher Venture Capital getriebenen Szene in den USA? Gibt es da einen Unterschied, oder ist das jetzt bloß eine Wahrnehmung, die sich gerade so ein bisschen verschiebt aufgrund dieser Aktivitäten speziell in diesem Bereich?
Dirk Seewald
Also, letztendlich muss ein Unternehmen irgendwann auch tatsächlich wettbewerbsfähig sein, also am Markt sich bewähren können. Und daher können diese Initiativen, von denen wir jetzt gerade sprachen – Cyberagentur, Accelerator, DIANA –, immer nur Anschübe sein in den ersten Jahren. Risiken sozusagen aus Investitionen, aus Investorenperspektive, rauszunehmen, aus einem solchen am Anfang dann auch immer Projekt. Dass letztendlich die größten Risiken behoben werden und man erste Prototypen hat. Erste PoCs hat, also erste Pilotkunden hat, und es dann auch interessant wird für private Investoren, solche Unternehmen weiterzuführen. Die gibt es interessanterweise überall. Also die gibt es auch in Israel, die gibt es auch in den USA.
Wo, glaube ich, wir in Europa und insbesondere auch in Deutschland großen Nachholbedarf haben, ist dort nachzulegen. Wir haben das jetzt als eCapital und zusammen mit einer Handvoll anderen europäischen spezialisierten Fonds im Bereich Cybersicherheit gemacht. Wir finanzieren frühe Unternehmen, die in frühen Phasen sind. Wir nennen das Series A Seed. Das sind so typische Venture Capital Begrifflichkeiten, die darauf abzielen, dass ein Unternehmen auch zumindest mal ein erstes Produkt, einen ersten Kunden haben sollte und man sich dann für die Wachstumsphase vorbereitet. Und die Wachstumsphase ist dann typischerweise die Phase, wo letztendlich wir hier in Europa auch immer noch Nachholbedarf haben. Also, wenn ein Unternehmen dann tatsächlich skalieren möchte. Geografische Expansion, die Vertriebsorganisation soll wachsen, man Finanzierungsbedarf von einigen zehn, 20, 30 Millionen € hat. Und da muss man auch schnell sein. Das sind sicherlich Phasen, in denen es ja Nachholbedarf gibt. Das hat es allerdings in den USA auch.
Also ich glaube, was wir hier mittlerweile in Europa sehen, sind die ersten Seriengründer oder die erste Serien-Gründergeneration, die teilweise auch schon wieder investiert. Und da kann man durchaus auch dich und euch hervorheben. Ihr habt ja auch mit Rhebo nicht das erste Mal gegründet, sondern das zweite Mal. Vielleicht kommen ja noch einige weitere dazu. Also das ist letztendlich etwas, was uns hier an der Stelle gerade so ein Stück weit noch fehlt. Ich glaube, man ist da auf dem Weg.
Ansonsten vielleicht auch noch mal an der Stelle zusammenfassend: Viele große Innovationen – die, von denen wir heute leben und sei es das Internet oder sei es die des Antivirus, was man heute glaube ich schon gar nicht mehr einsetzt oder zumindest mal in der Form nicht mehr – vieles davon hat letztendlich seinen Ursprung in frühen militärischen oder militärisch geprägten Forschungsprojekten oder ersten Initiativen. Ob das jetzt das DARPA [Defense Advanced Research Projects Agency] in den USA ist oder ob das die Unit 8200 in Israel ist. Letztendlich sind das Bereiche, in denen die Risiken hoch sind und in dem man sehr innovativ sein muss, auch was die Technologie betrifft, um sich da letztendlich durchzusetzen. Und das werden dann Innovationen, die sich danach auch im kommerziellen, privaten Umfeld durchsetzen und von denen wir heute profitieren. Mit unseren Laptops, mit unseren iPhones und Android Phones und Google Anwendungen usw. Also vielfach haben diese Innovationen ihren Ursprung und ihre Applikation in Government.
Klaus Mochalski
Ja, das sehe ich auch so als Riesenchance für Deutschland. Und ich glaube, da haben wir viel verpasst. Jetzt gerade reden wir aus aktuellem Anlass wieder über die Investitionen in die Bundeswehr, dass dort viel mehr passieren muss. Und da gibt es gar nicht so sehr die Debatte, ob das passiert, sondern eher, wie das passiert. Und ich glaube, da hat man eine große Möglichkeit, eine große Chance, etwas zurückzubekommen für die Industrie, für den Arbeitsmarkt, für die Investmentaktivitäten. Wenn man sich anschaut, wie du schon beschrieben hast, was dort in Israel, insbesondere aber auch in den USA schon länger stattfindet, ich glaube, das ist tatsächlich eine Riesenchance. Vielen Dank für diese Perspektive.
Ich habe noch eine letzte Frage für dich. Ich bin auch Unternehmensgründer. Wir haben mit Rhebo ein gewisses Level erreicht, sind da immer so ein bisschen hinter unseren eigenen Plänen und Erwartungen zurückgeblieben. Ich glaube, ein Aspekt hast du schon angesprochen diese Internationalisierung. Da sind wir nach wie vor in Deutschland in einer Situation, dass wir da nicht umhin kommen, uns ab einer gewissen Wachstumsstufe zu internationalisieren. Und als Gründer muss man dann im Hinterkopf haben, dass man das am besten von Anfang an mit einplant, um, wie du auch sagst, schnell sein zu können. Das kann man nicht erst machen, wenn der Kapitalbedarf da ist, sondern der Plan muss schon da sein und das muss nahtlos ineinander übergehen.
Aber unser Podcast hier heißt ja auch OT Security Made Simple.Deswegen möchte ich abschließend noch einmal ganz kurz auf diesen speziellen Markt schauen, also die Operational Technology, wie wir anfänglich beschrieben haben, wo eben physische Prozesse überwacht und abgesichert werden, insbesondere eben auch kritische Infrastruktur. Da gab es viele Aktivitäten, es gab Startups, die verkauft wurden, die auch wieder verschwunden sind. Es gibt Investition von größeren Unternehmen. Nähern wir uns da einer Konvergenz, wird es dort am Ende ein paar Anbieter geben, die diesen Markt bedienen, der ja auch heute noch durchaus überschaubar ist? Oder wird sich dieser Markt noch mal in einer neuen Welle weiterentwickeln? Wie ist da euer aktueller Blick als Investor, als aktiver Investor auf diesem Markt? Wie wird sich dieser Markt in den nächsten 3 bis 5 Jahren entwickeln?
Dirk Seewald
Sehr gute Frage, Klaus. Man sagt, es gibt derzeit, glaube ich, 3.000 bis 5.000 Cyber Security Startups. Und auf der anderen Seite gibt es letztendlich den CISO, den Chief Information Security, der typischerweise, mit 40 oder 50 verschiedenen Tools und Anbietern hantiert. Und es gibt Produktanbieter von Automatisierungsinfrastruktur, die natürlich mit jeder Entscheidung, die sie treffen für ein neues Produkt, das Sie integrieren oder für eine Technologie, die Sie irgendwie integrieren, große Entscheidungen treffen über ihre Supply Chain. Denn du bist dann auf einmal, wenn du integriert bist, Teil der Supply Chain mit allen Konsequenzen, mit den Risiken usw. und so fort.
Worauf will ich hinaus? Ich glaube, dass wir aktuell in einer Phase sind, wo sich die Dinge eher konsolidieren. Das sieht man unter anderem auch an den aktuellen Aktivitäten der letzten Jahre im Bereich Cybersicherheit, wo sich herausstellt, dass der Trend eigentlich eher darin besteht, dass größere Plattformen entstehen. Und wenn man sich auch im OT-Umfeld die aktuell noch in Privatbesitz unabhängigen Unternehmen anschaut, dann sind das alles keine Unternehmen mehr, die jetzt, ich will mal sagen, eine Technologie irgendwo anbieten oder ein Produkt anbieten. Sondern dann haben die teilweise auch schon andere Unternehmen akquiriert. Und man findet in den Produktblättern eine ganze Reihe von Dingen, die sie tun – von typischerweise Asset Discovery Asset Visibility, über Vulnerability Management Intelligence, Threat Detection, Change Management.
Es wird, glaube ich, tatsächlich auch eher Plattformanbieter geben, die eben auch diesem Trend gerecht werden müssen. Es ist ja so, dass man auf der operativen Seite, also wer auch immer IT-Infrastruktur betreibt und die Sicherheit an der Stelle sicherstellen möchte, aktuell eher konsolidiert ist und keinen neuen Lieferanten mehr haben möchte. Also man wird sich in diese Ökosysteme einfinden müssen. Und ich glaube, so ähnlich ist das auch mit Technologie, die man in Produkte integrieren möchte, weil da haben wir das Thema Supply Chain Security und Bill of Materials, SBOMs usw., wo dann auf einmal ein ganz neues Feld aufgeht, was durch die geopolitische Situation auch gerade wieder nicht einfacher geworden ist.
Also aktuell sind wir, glaube ich, eher in einer Konsolidierungsphase, was allerdings für attraktive Produktunternehmen sehr interessant sein kann, sehr attraktiv sein kann, denn es entstehen da große Unternehmen. Es gibt große Private Equity Investoren, die sich den Bereich Cybersicherheit aktiv vorgenommen haben und da teilweise Milliarden-Akquisitionen tätigen und Plattformen bauen. Es gibt Unternehmen, die gelistet sind, die aktiv eine aktive Akquisitionsstrategie verfolgen, und das ist ein sehr interessantes Feld. Wichtig ist nur, dass man in diesem Ökosystem sozusagen von vornherein drinsteckt.
Und du sagtest auch schon Internationalisierung. Ich sage immer, Cybersecurity ist vom Tag 1 international. Also, man muss letztendlich immer gucken, wo sind Industrien, wo sind Verticales, wo sind Geographien, in denen aktuell meine Lösung dann auch wirklich gekauft wird? Da muss ich so schnell wie möglich hin. Und da haben wir in Deutschland auf der einen Seite einen Vorteil dadurch, dass wir einen relativ großen Markt haben, den wir selbst bedienen können. Wir haben eine sehr starke Industrie in Deutschland. Auf der anderen Seite ist das aber auch ein Nachteil gegenüber anderen Ländern, wie bei kleineren Ländern wie beispielsweise der Schweiz oder Israel, die nämlich so kleine lokale Märkte haben, dass [die Unternehmen] vom Tag 1 raus müssen, weil der lokale Markt zu klein ist. Das ist sozusagen ein bisschen die Challenge, die man in einer ganz frühen Phase hat. Man kann sich relativ komfortabel fühlen in Deutschland mit deutschen Kunden, mit deutschen Förderungen usw, aber man muss sich immer dessen bewusst sein. Am Ende muss man wirklich raus. Und das raten wir eigentlich jedem Unternehmer, gerade auch im Bereich B2B-Cybersicherheit, von Tag 1.
Klaus Mochalski
Das ist doch eine sehr gute Empfehlung für alle Startups, die heute zuhören. Das finde ich ein sehr schönes Schlusswort. Zusammenfassend höre ich aus dem, was du gesagt hast, heraus, dass eigentlich das Motto unseres Podcasts OT Security Made Simple aus Anwenderperspektive, also aus den Betreibern der Anlagen, immer im Hinterkopf dessen sein muss, was man tut – auch als Firma, die ein Produkt baut. Das heißt, man muss immer überlegen, wie wollen die Kunden das? Das beste Produkt nützt nichts, wenn es kompliziert einzusetzen ist. Deswegen auch dieser Trend zur Konvergenz, dass eben die großen Lieferanten, die großen Systemintegratoren wie Siemens, Hannibal, Rockwell, dass die diese Systeme in Zukunft mit anbieten werden. Das machen die einfach, weil ihre Kunden das so wollen. Und ich glaube, das ist dann langfristig in diesem Bereich auch die Überlebensstrategie, dass man genau diese Kooperation sucht. Ein Aspekt spielt vielleicht auch Service. Wir hatten da eine separate Podcast-Episode dazu. Aber davon abgesehen denke ich auch, dass diese Konsolidierung hin zu Plattformen, die für die Kunden einfach, flexibel einsetzbar sind, tatsächlich langfristig der beste Weg für erhöhte Sicherheit in Notanlagen im weitesten Sinne sein wird.
Dirk Seewald
Ja, ich kann das nur unterschreiben, Klaus. Am Ende kauft der Kunde keine Cybersicherheit, sondern er kauft letztendlich einen Mehrwert, den er hat. Und der muss am Ende auch bedien- und einsetzbar sein. Und daher ist, wie du vollkommen richtig sagst, das Simple in eurem Podcast-Titel sehr wichtig. Das kann man nur unterschreiben.
Klaus Mochalski
Sehr schönes Schlusswort. Dann herzlichen Dank, Dirk, dass du hier warst für die spannende Diskussion. Vielleicht greifen wir tatsächlich eines der Themen, die wir jetzt diskutiert haben und nicht im Detail diskutieren konnten, noch mal auf in einer weiteren Episode. Ich hätte auf jeden Fall Lust darauf. Trotzdem erstmal vielen Dank dafür, dass du hier warst und für die sehr spannende Diskussion.